Une menace insidieuse a été découverte dans un outil populaire, compromettant la sécurité de nombreuses personnes sans qu’elles s’en aperçoivent. Les informations sensibles, telles que messages et photos, ont été récoltées pendant plusieurs mois, soulevant des préoccupations majeures concernant l’utilisation de certaines applications tierces.
Un paquet malveillant dissimulé sur un dépôt populaire a collecté des messages, des photos et des contacts de milliers d’utilisateurs pendant six mois sans que quiconque ne s’en aperçoive
Attention aux outils tiers que vous utilisez pour gérer votre compte de WhatsApp. La sécurité de la plateforme de messagerie la plus utilisée au monde est de nouveau remise en question, cette fois non pas en raison d’une faille de l’application elle-même, mais d’une menace externe qui a réussi à passer inaperçue pendant six mois.
Un récent rapport de la société de sécurité Koi Security a déclenché toutes les alarmes : une prétendue bibliothèque de développement pour WhatsApp, qui comptait plus de 56 000 téléchargements, était en réalité un malware sophistiqué conçu pour voler absolument tout le contenu des comptes des victimes.
Un loup sous une peau de mouton nommé ‘lotusbail’
L’attaque a eu lieu via npm (Node Package Manager), le plus grand registre de logiciels au monde utilisé par les développeurs JavaScript. Y était hébergé un paquet nommé « lotusbail ».
Pour tromper les développeurs, ce paquet se présentait comme une version légitime (un fork) d’un projet très populaire appelé Baileys, souvent utilisé pour créer des bots ou des outils d’automatisation sur WhatsApp Web. Le problème est que, bien que « lotusbail » fonctionnait et réalisait ce qu’il promettait, il exécutait également bien plus en arrière-plan.
D’après les chercheurs, le code malveillant agissait comme un intermédiaire invisible. « Chaque message qui circulait à travers l’application passait d’abord par le conteneur du malware », expliquent-ils chez Koi Security. En s’authentifiant, le programme capturait les identifiants. Lors de la réception de messages, il les interceptait. Et en les envoyant, il les enregistrait.
Quelles informations ont été volées (et comment savoir si vous êtes affecté)
L’ampleur du vol de données est préoccupante. L’outil ne se contentait pas d’intercepter les messages textes envoyés et reçus, mais exfiltrait également :
- Des listes de contacts complètes.
- Des fichiers multimédia (photos, vidéos, audios).
- Des documents partagés.
- Des jetons d’authentification et des clés de session.
Mais le plus inquiétant est sa capacité de persistance. Le malware incluait une fonction qui liait automatiquement le dispositif de l’attaquant au compte WhatsApp de la victime par le biais du processus de « Dispositifs liés ».
Cela signifie que même si le développeur ou l’utilisateur supprimaient l’outil malveillant de leur appareil, l’attaquant continuait d’avoir un accès total au compte WhatsApp indéfiniment, car son dispositif restait autorisé dans la liste des sessions actives.
Que devez-vous faire ?
Bien que cette attaque était principalement destinée aux développeurs ayant intégré cette bibliothèque dans leurs projets, les utilisateurs finaux de ces outils pourraient également être affectés.
Pour vous assurer que votre compte est en sécurité, la recommandation est simple mais essentielle :
- Ouvrez WhatsApp sur votre mobile.
- Accédez aux Paramètres ou au menu des trois points.
- Entrez dans Dispositifs liés.
- Vérifiez soigneusement la liste. Si vous voyez un navigateur ou un dispositif que vous ne reconnaissez pas, ou une session ouverte à une date étrange, fermez-la immédiatement.
Les attaquants ont utilisé des techniques complexes, telles que des boucles infinies et le chiffrement RSA, pour dissimuler le comportement du code pendant des mois. Une preuve de plus qu’en matière de cybersécurité, il ne faut jamais baisser la garde, même avec des outils qui semblent légitimes et populaires.